Locky-Trojaner: Datenverschlüsselung mit Erpressung

Martin Maciej 2

Kein Monat ohne neuen Virusalarm. Im Februar macht sich vor allem die Ransomware „Locky“ auf den Rechnern dieser Welt breit. In Deutschland ist unter anderem bereits das renommierte Fraunhofer-Institut vom Virus betroffen. Wie man Locky erkennen kann und was zu tun ist, wenn der eigene Rechner von der Malware befallen wurde, erfahrt ihr hier.

Locky kommt auf einem bereits bekannten Wege auf die Festplatte. Der Trojaner wird per Mail verschickt und versteckt sich in einem Word-Dokument. Die Mail wird z. B. als fingierte Rechnung oder Warnung vor einer angeblich ausstehenden Zahlung verschickt.

Giga Malwarebytes Anti-Malware Video Overview.

So zeigt sich der Locky-Virus

Bilderstrecke starten(11 Bilder)
Phishing: Die fiesesten Tricks der Betrüger

Hauptbetroffen sind derzeit vor allem USA, Kanada und Australien. Auch in Deutschland werden allerdings vermehrt betroffene Nutzer gefunden. So soll es laut dem Sicherheitsexperten Kevin Beaumont 5.000 Neuinfektionen allein hierzulande geben.

  • Locky verschlüsselt die Daten auf dem Rechner und versucht gleichzeitig, weitere Rechner in einem Netzwerk zu befallen.
  • Eigene Dateien lassen sich dann nicht mehr aufrufen und werden mit der Dateiendung „.locky“ versehen.
  • Der Trojaner versteckt sich dabei nicht nur in Word-Dateien, sondern kann auch als Anhang in einer MP3, PDF und weiteren Dateiformaten stecken.
  • Heise spricht von über 150 verschiedenen Endungen.
  • Als einzige lesbare Datei wird ein Erpresserschreiben auf dem System hinterlegt.
  • Nach dem Befall wird man aufgefordert, eine Webseite im Tor-Netzwerk aufzurufen.
  • Dort findet sich eine Zahlungsaufforderung.
  • Nach der Zahlung soll ein Tool zur Verfügung gestellt werden, um die eigenen Daten wieder entschlüsseln zu können.
  • Im Gegensatz zu anderen Fällen, z. B. dem sogenannten „BKA-Trojaner“, soll das Tool laut Heise tatsächlich wieder einen Zugriff auf die Daten bieten.
  • Allerdings funktioniert die Anwendung nur auf dem eigenen System. Die Erpressersoftware nutzt hierfür eine eigens generierte ID.
  • Die Polizei empfiehlt, den geforderten Betrag nicht zu zahlen, da eine Säuberung des Systems nicht gewährleistet sei.

Locky verhindern: das sollte man beachten

Um zu verhindern, dass euer System von Locky befallen wird, solltet ihr vor dem Öffnen einer E-Mail genauestens auf den Absender blicken. Zudem sollten keine Dokumente aus Anhängen, z. B. Word-Dateien, aber auch PDFs oder ZIP-Files aus unbekannten Quellen geöffnet werden. Einer Aufforderung „Makros zu aktivieren“ sollte man ebenfalls nicht nachkommen, da erst auf diesem Wege der eigentliche Trojaner in Form der Datei „ladybi.exe“ auf dem System landet. Generell sollte man Rechnungen, die per Mail zugeschickt werden, skeptisch gegenüber stehen.

Der Locky-Virus wird auch in angeblichen Rechnungen von vermeintlich bekannten Anbietern versendet. Hier stecken allerdings nicht die Anbieter selbst hinter der Nachricht, sondern Betrüger, die den bekannten Namen verwenden. Zuletzt wurde etwa das renommierte Zahlungsunternehmen Payment Solution für betrügerische Zwecke missbraucht.

Hat man in der Vergangenheit nichts bestellt, empfiehlt es sich, eine Mail mit einer Zahlungsaufforderung direkt zu löschen. Darüber hinaus empfiehlt es sich, direkt auf der Plattform eines Anbieters zu überprüfen, ob eine Zahlung aussteht. Hat man in der Vergangenheit etwa über Amazon Waren bestellt, wird eine offene Rechnung auch im eigenen Konto angezeigt. Auch hier sollte man sich allerdings direkt über die Homepage anmelden und keinen Link aus einer unbekannten Mail anklicken. Cyber-Kriminelle nutzen diesen Weg aus, um Zugangsdaten per Phishing abzugreifen.

Locky entfernen nur schwer möglich

Zusätzlich sollte man sicherstellen, dass sich der genutzte Browser auf dem neuesten Stand befindet. Locky soll laut Sicherheitsforschern auch den Weg über infizierte Webseiten auf den eigenen Rechner finden. Um sich generell im Netz zu schützen, muss das Antivirus-Programm auf der Festplatte regelmäßig auf dem neuesten Stand gehalten werden. Gängige Anti-Virus-Tools erkennen den Locky-Virus bereits.

Wurde das System bereits von der Ransomware befallen und lässt sich der Virus nicht über das Anti-Virus-Tool entfernen, sollte man auf Daten aus einer Backup-Datei zurückgreifen. Voraussetzung hierfür ist natürlich, dass regelmäßig Backups und Wiederherstellungspunkte des Systems angelegt wurden.

Bildquellen: designer491, Brian A Jackson, GlebStock

Zu den Kommentaren

Kommentare zu dieser News

* Werbung